【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]EU CRA 대응 본격화… SBOM 기반 소프트웨어 공급망 보안 전략 부상

온카뱅크관리자

2026-05-13 11:07:31

<div id="layerTranslateNotice" style="display:none;"></div> 블랙덕 공급망 보안 전략 담당 Tim Mackey 방한, 국내 기업 대응 방향 제시 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="zWJAnG5TrC">
 유럽연합(EU)의 사이버 복원력 법안(CRA) 도입이 가시화되면서, 소프트웨어 공급망 보안과 규제 대응에 대한 기업들의 관심이 빠르게 높아지고 있다. EU CRA는 지난 2024년 12월 10일부로 공식 발효됐고, 세부 이행 요건은 지난해 12월 공표됐다. 취약점 관리 의무는 오는 9월부터 적용되며, 전체 적합성 요건에 대한 단계적 집행은 내년 12월에 걸쳐 이루어질 예정이다. 
 <figure class="figure_frm origin_fig" contents-hash="f72f5f83d2d4aab4ef798833c57662832485d0353e5360ce65254d507ec46e26" dmcf-pid="BGnkoXtWIO" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/13/etimesi/20260513105759555uqfx.jpg" data-org-width="300" dmcf-mid="5MQq3naeIJ" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/13/etimesi/20260513105759555uqfx.jpg" width="658">
 </figure>
 <figure class="figure_frm origin_fig" contents-hash="a8803b38e7201cb18f89d67a834f3fd816d0f1ba417714886b075321fb9b79bc" dmcf-pid="bHLEgZFYrs" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/13/etimesi/20260513105800780ifao.png" data-org-width="300" dmcf-mid="1ZKtYPRfId" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/13/etimesi/20260513105800780ifao.png" width="658">
 </figure>
 이러한 흐름 속에서 정보통신기술(ICT) 전문기업 쿠도커뮤니케이션은 인공지능(AI) 기반 애플리케이션 보안 분야의 글로벌 리더 '블랙덕(Black Duck)'과 함께 기자간담회를 갖고, 소프트웨어 자재비용(SBOM)을 기반으로 하되 이를 넘어서는 확장 가능한 소프트웨어 공급망 보안 전략과 EU CRA 취약점 요구사항 충족 방안을 제시했다.
 행사에는 블랙덕의 팀 맥키(Tim Mackey) 소프트웨어 공급망 위협 전략 부문 총괄이 방한해 직접 발표를 진행했다. 팀 맥키는 소프트웨어 공급망 보안 분야의 글로벌 전문가로, RSA, Black Hat, Open Source Summit, KubeCon 등 주요 국제 컨퍼런스에서 발표를 이어온 권위자이며, EU CRA를 포함한 글로벌 소프트웨어 보증 활동에 직접 참여하고 있다.
 그는 EU CRA의 핵심 요구사항으로 △소프트웨어 구성 요소에 대한 투명성 확보 △취약점 관리 및 대응 체계 구축 △지속적인 보안 관리 체계 등을 제시하며, 이를 위한 핵심 수단으로 SBOM의 중요성을 강조하면서도, SBOM만으로는 CRA 요구사항을 완전히 충족할 수 없다고 밝혔다. CRA가 제시하는 기대 수준은 △제3자 취약점 제로(Zero) △기본 보안(Security by Default) △취약점 신속 보고 △테스트 의사결정 기록 관리 △강력한 오픈소스 거버넌스 △적합성 진술서(Conformity Statement) 확보 등으로 구성된다.
 블랙덕 팀 맥키(Tim Mackey) 소프트웨어 공급망 위협 전략 부문 총괄은 “EU CRA는 단순한 규제를 넘어, 애플리케이션 및 운영 사이버보안 관행의 기준선이자, 제조사가 제품 전체 수명주기에 걸쳐 잘 설계되고 안전한 소프트웨어를 생산하겠다는 의지를 명확히 입증하는 수단으로 기능한다”고 설명했다. 이어 “포괄적인 취약점 및 리스크 관리 프로그램의 일환으로 활용될 때, SBOM은 공급망 파트너 간 신뢰를 전달하는 역할을 한다”고 강조했다.
 그는 또한 CRA 준수를 위해서는 단순 SBOM 생성 이상의 다층적 접근이 필요하다고 설명했다. 구체적으로 △SCA(소프트웨어 구성 분석)를 통한 제3자 리스크 관리 및 취약점 매핑 △정적 분석(Coverity)을 통한 자사 코드 취약점 제거 및 안전한 응용프로그램 인터페이스(API)·데이터 처리 구현 △퍼징 테스트(Defensics)를 통한 프로토콜 수준의 공급망 검증 및 악조건 내 제품 동작 확인이 모두 요구된다. CRA는 2026년 9월부터 적용되는 취약점 공개 의무도 포함하며, 이는 유럽 취약점 데이터베이스(EUVD)를 포함한 다수 채널에 대한 보고를 의무화한다. 이어 “특히 글로벌 시장을 대상으로 서비스를 제공하는 기업의 경우, EU CRA 대응은 선택이 아닌 필수 요소가 될 것”이라고 덧붙였다.
 CRA는 EU/EEA 내 판매 여부를 기준으로 적용되며, 제품의 개발·생산·본사 소재지와는 무관하다. 이는 EU 시장에 소프트웨어 포함 제품을 판매하는 국내 기업에도 동일하게 적용된다는 점에서, 적극적인 선제 대응이 요구된다. 위반 시에는 허위 진술에 대해 전 세계 매출의 2.5%, 일반 적합성 위반에 대해 4%에 달하는 과징금이 부과될 수 있으며, EU 공동시장 접근권 박탈이라는 최대 제재도 규정되어 있다. CRA 적합성 평가는 크게 세 가지 방식으로 구분된다. 제조사가 자체적으로 검증·선언하는 모듈 A(내부 통제 기반), 제3자 인증기관(Notified Body)이 설계 및 개발을 심사하는 모듈 B+C(EU형식 시험), 품질경영시스템 전반을 인증기관이 평가하는 모듈 H(전체 품질보증)가 있으며, 제품 유형 및 위험 분류에 따라 적절한 방식이 적용된다. 모든 방식에서 CE 마킹 획득이 최종 요건으로 명됐다..
 팀 맥키는 “규제를 단순한 비용 요인으로 볼 것이 아니라 전략적 기회로 접근해야 한다. 자동차 산업이 차량 내 소프트웨어, 제조, 클라우드, 네트워크 인프라 전반에 걸쳐 보안 생태계를 구축한 것처럼, 소프트웨어를 포함하는 모든 제품 제조사는 보안을 개발 프로세스에 내재화해야 한다“고 했다.
 블랙덕은 오픈소스 소프트웨어 보안 및 관리 분야에서 약 25년에 가까운 경험을 바탕으로, SBOM 생성 및 관리, 취약점 분석, 오픈소스 컴포넌트 상태 관리 등 소프트웨어 공급망 전반에 대한 가시성과 통제 기능을 제공하고 있다. EU CRA 대응을 위한 블랙덕의 통합 접근법은 △파이프라인 보안(Pipeline Security)을 통한 빌드 워크플로우 리스크 제거△SCA를 통한 소프트웨어 공급망 가시성·통제 확보 △악성 코드 및 취약점 탐지 △SBOM 관리를 통한 업스트림·다운스트림 공급망 투명성 강화로 구성된다. 이를 통해 기업은 SBOM, VDR(취약점 공개 보고서), VEX(취약점 익스플로잇 가능성 보고서), 적합성 진술서 등 CRA가 요구하는 핵심 문서를 체계적으로 생성·관리할 수 있다.
 블랙덕 국내 공인 총판 쿠도커뮤니케이션 김철봉 부사장은 “EU CRA와 같은 글로벌 규제 환경 변화는 국내 기업에도 직접적인 영향을 미칠 것”이라며 “블랙덕과 함께 기업들이 선제적이고 체계적인 규제 대응 방식을 취할 수 있도록 지원을 강화해 나갈 계획”이라고 밝혔다.
 이경민 기자 kmlee@etnews.com
 </section> 
 </div> 
 Copyright © 전자신문. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기